ALT Linux Team development discussions
 help / color / mirror / Atom feed
* [devel] Q: hiding security sensitive info
@ 2003-12-04 15:26 Anton V. Denisov
  2003-12-04  5:54 ` Denis Ovsienko
  2003-12-04  7:12 ` [devel] " Anton V. Boyarshinov
  0 siblings, 2 replies; 21+ messages in thread
From: Anton V. Denisov @ 2003-12-04 15:26 UTC (permalink / raw)
  To: devel

Приветствую всех.

Прошу прощения за отступление от тематики данного списка рассылки, но
altlinux-security@ у нас пока нет.

Возник у меня следующий вопрос: как непривилегированный пользователь
может получить список пользователей, вошедших в систему? Предполагается,
что доступа к /usr/bin/{w,who} у пользователя нет. Также он не может
скомпилировать и выполнить на хосте свою программу, но может загрузить
её на хост уже в скомпилированном виде. Это подразумевает, что у
пользователя есть доступ на запись к некоторым каталогам, которые
находятся на разделе, смонтированном с параметром 'exec'.

Прочитал ещё раз вопрос и понял - в этом случае ничто не помешает
загрузить на хост и запустить статически слинкованный бинарник who. Но
это значительно усложнит жизнь злоумышленнику. Особенно если доступа к
средствам загрузки тоже нет.

Данный вопрос можно распространить на информацию, выдаваемую следующими
утилитами: dmesg, mount, netstat, ps, uname, df, free, last, lastlog,
id, groups, pstree, quota, fdisk, chkconfig, lsmod, ifconfig, ip, route
и многими других.

С помощью этих и других утилит пользователь может получить довольно
много информации о системе, поэтому я бы для себя поставил их на
control(8), но в этом не будет смысла, если пользователь сможет получить
эту информацию другими путями - про это и был мой первоначальный вопрос.

Openwall Linux Kernel Patch несколько улучшает ситуацию, защищая /proc,
но этого явно недостаточно.

Помню нашёл на одном web сервер дырявый cgi скрипт, который позволял
выполнять системные команды. Выполнил id, чтобы узнать что, я nobody (это
и предполагалось), потом who, а потом отослал /etc/passwd админу сервера
(я его знал :-)). Так вот хочется защититься от подобных вещей. Если бы
у пользователя nobody изначально не было прав запускать что-либо из
$PATH, то мне бы пришлось гораздо труднее в данном случае.

Конечно, когда пользователи имеют удалённый доступ и полноценный shell,
то такую защиту применить труднее. Но меня больше интересует случай
использования аккаунта непривилегированного пользователя, полученного
через удалённую уязвимость или как в случае описанном выше.

P.S. Очень буду благодарен за ответ на это письмо или направление - куда
читать.. Наверное я параноик :-][
P.P.S. Что лучше почитать про систему kernel capabilities?

--
With best regards, Anton V. Denisov.
In silent deep without hope.
'-- MARK --' is my favourite log-entry.




^ permalink raw reply	[flat|nested] 21+ messages in thread

end of thread, other threads:[~2004-02-24 10:56 UTC | newest]

Thread overview: 21+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-12-04 15:26 [devel] Q: hiding security sensitive info Anton V. Denisov
2003-12-04  5:54 ` Denis Ovsienko
2003-12-05  0:39   ` Anton V. Denisov
2003-12-04  7:12 ` [devel] " Anton V. Boyarshinov
2003-12-04 10:10   ` Alexey Tourbin
2003-12-05  0:08   ` Anton V. Denisov
2003-12-05  8:36     ` Anton V. Boyarshinov
2003-12-05 10:16     ` Dmitry V. Levin
2003-12-13 19:19       ` Sergey Vlasov
2003-12-14 14:58         ` Anton Farygin
2003-12-15  9:00           ` Michael Shigorin
2003-12-15  9:28             ` Anton Farygin
2003-12-15 10:29               ` Michael Shigorin
2003-12-16  9:54               ` Vadim Gorodisky
2003-12-15 13:25         ` Dmitry V. Levin
2004-01-03  0:10           ` Dmitry V. Levin
2004-01-03  0:52             ` Anton V. Denisov
2004-01-03 13:18               ` Dmitry V. Levin
2004-02-24  0:13           ` Dmitry V. Levin
2004-02-24  9:27             ` Anton V. Denisov
2004-02-24 10:56             ` Anton V. Denisov

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git